没问题，我来一步步帮你搞定SQL Server里的行级安全配置，完美实现你要的权限控制需求～

1. 确认前提 #

首先假设你的目标表是dbo.colours，并且表里有一列用来存储颜色值（比如colour_name）——如果你的列名不一样，记得后续步骤里替换成实际列名就行。另外，操作前确保你拥有足够的权限（比如ALTER ANY SECURITY POLICY、CREATE FUNCTION、GRANT这些权限）。

2. 创建测试用户（如果还没创建） #

如果你还没在数据库里创建User1和Manager这两个用户，先执行下面的语句创建（这里用无登录用户方便测试，如果你需要关联Windows/SQL登录名，改成CREATE USER User1 FOR LOGIN [你的登录名]即可）：

-- 创建User1
CREATE USER User1 WITHOUT LOGIN;
-- 创建Manager用户
CREATE USER Manager WITHOUT LOGIN;

3. 编写行级安全筛选函数 #

这个函数是核心逻辑，用来判断当前用户能查看哪些行。函数必须返回BIT类型（1=允许查看，0=拒绝），并且要加上SCHEMABINDING绑定到表架构：

CREATE FUNCTION dbo.fn_ColourAccessFilter(@ColourName NVARCHAR(50))
RETURNS BIT
WITH SCHEMABINDING
AS
BEGIN
    DECLARE @IsAllowed BIT = 0;

    -- 根据当前用户判断权限
    IF USER_NAME() = 'User1' AND @ColourName = 'Purple'
        SET @IsAllowed = 1;
    ELSE IF USER_NAME() = 'Manager' AND (@ColourName = 'Purple' OR @ColourName = 'Black')
        SET @IsAllowed = 1;

    -- 其他用户默认看不到任何行，你可以根据需求调整这个逻辑
    RETURN @IsAllowed;
END;

4. 创建并启用安全策略 #

接下来把刚才的筛选函数绑定到colours表，创建安全策略并启用：

CREATE SECURITY POLICY dbo.ColourAccessPolicy
ADD FILTER PREDICATE dbo.fn_ColourAccessFilter(colour_name)
ON dbo.colours
WITH (STATE = ON); -- STATE=ON表示立刻启用策略

5. 授予用户查询权限 #

别忘了给两个用户授予colours表的SELECT权限，不然就算行级安全配置好了，用户也看不到数据：

GRANT SELECT ON dbo.colours TO User1;
GRANT SELECT ON dbo.colours TO Manager;

6. 测试权限效果 #

现在就可以验证配置是否生效了，用你提供的测试语句就行：

-- 测试User1的权限：仅能看到Purple的行
EXECUTE AS USER = 'User1';
SELECT * FROM dbo.colours;
REVERT; -- 切换回原登录用户

-- 测试Manager的权限：能看到Purple和Black的所有行
EXECUTE AS USER = 'Manager';
SELECT * FROM dbo.colours;
REVERT;

额外注意事项 #

• 如果需要让管理员或其他特定角色能查看所有行，可以在筛选函数里加个判断，比如OR IS_ROLEMEMBER('db_owner') = 1，这样管理员不受行级安全限制。
• 如果后续要修改筛选逻辑，先把安全策略禁用（ALTER SECURITY POLICY dbo.ColourAccessPolicy WITH (STATE = OFF);），修改函数后再重新启用。

内容的提问来源于stack exchange，提问作者test